2012-07-26 16:48:17 来源:it168网站
根据研究人员表示,只需要使用一些技巧(在少数情况下,只需添加一个单一字符),熟练的攻击者就可以绕过WAF提供的额外的安全保护。研究人员将在美国举行的黑帽会议上展示如何绕过WAF。
从简单的文件名和路径名处理,到更复杂的多部分和unicode解析,不同的Web服务器和安全软件使用不同的方式来处理HTTP协议。漏洞管理公司Qualys的工程总监Ivan Ristic表示,通过利用web服务器及其web应用程序防火墙之间的“脱节”,攻击者可以绕过这些防御来利用web服务器中的漏洞。
Ristic表示,“这种攻击方式涉及攻击web应用程序防火墙解析数据流的方式,目前还没有关于这些问题的公开讨论和披露,除了偶尔出现的漏洞。”
虽然目前还没有很多攻击者使用规避技术来窃取数据,但web应用程序防火墙的不断普及,意味着攻击者将开始寻找规避这种防火墙的方法。为了帮助用户和渗透测试者来测试web应用程序防火墙的安全性,Ristic计划公布将近150个针对他在当前WAF中发现的不同安全漏洞的测试。
Prolexic公司技术传播者Paul Sop表示,在部署某供应商的产品前,对其产品进行测试,能够极大地帮助用户。该公司对很多系统进行了测试,并发现了一些问题,然而,对于大多数企业而言,他们无法完成这种水平的评估。
“有很多不同的攻击向量,你必须知道哪些攻击向量对应哪些功能,以及你应该如何进行测试,你如何证明你刚刚激活的控制能够运作?”他表示,一组强大的测试能够帮助用户检查供应商的产品,帮助供应商改善其系统。此外,很多企业只是开启了PCI兼容的必要功能,而没有让Web应用程序防火墙调整为适应其环境。
Sop表示,“要开启WAF的某个抽象功能,你需要更深入地了解HTTP协议以及你正在保护的应用程序,如果你不开启对某事物的保护,那么,它将不会做任何事情。”
Qualys公司的Ristic表示,所幸的是,攻击者并不会那么快地将WAF锁定为其目标,并且,设计针对WAF的规避需要具备对这些系统的很多知识。
“这些都是高级攻击,攻击者不会使用它们,”他表示,“因为部署这种类型的攻击需要花费大量精力和时间,只有当高价值目标出现时,攻击者才会使用这些规避技术。”
总体而言,WAF是一个很好的安全技术,但是需要大量更深入的研究,此外,供应商对于其技术和产品,需要更加透明。
“用户必须向供应商表明,他们非常关心WAF的质量,”他表示,“十年以来,我一直在参与WAF的开发工作,对于目前的市场状态,我感到非常失望。”
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。